Jak nastavit minimální oprávnění systému souborů NTFS a uživatelská práva pro službu IIS 5.x nebo službu IIS 6.0

Překlady článku Překlady článku
Tento článek popisuje, jak nastavit minimální oprávnění, které jsou požadovány pro vyhrazená Internetová informační služba (IIS) 5.0, IIS 5.1 nebo IIS 6.0 webového serveru.
Omezení pro tento článek
Upozornění: V tomto článku platí pouze pro vyhrazenými webovými servery, které používají základní funkce služby IIS, jako je například funkce obsahu HTML statického obsahu nebo jednoduché stránky ASP (Active Server). Požadavky o oprávnění, které jsou popsány v tomto článku jsou určeny pouze pro základní oprávnění pro vyhrazený webový server se službou IIS 5.X nebo SLUŽBA IIS 6.0. V tomto článku nepovažuje. jiné společnosti Microsoft a produkty jiných výrobců různá oprávnění, které vyžadují. Můžete zkontrolovat dokumentaci k serveru a aplikace pro specifické požadavky na zabezpečení. Doporučujeme, aby jste související články které jsou specifické pro role serveru WWW.
Kroky před konfigurací oprávnění při testování ve výrobním prostředí
Než změníte oprávnění na provozním webovém serveru, doporučujeme provést následující kroky:
  1. Spustit poslední verzi nástroje IIS Lockdown. Následující programy a služby byly nainstalovány jako součást sady test, který byl použit pro testování zabezpečení serveru po udělení oprávnění uvedených v tomto článku:
    • Index služby
    • Terminálová služba
    • Ladicí prostředek skriptů
    • SLUŽBA IIS
      • Společné soubory
      • Dokumentace
      • Rozšíření FrontPage Server Extensions 2000
      • Správce služeb sítě Internet (HTML)
      • WWW
      • FTP
  2. Proveďte následující funkční testy:
    • Dokumenty Hypertext (HTML)
    • Active Server Pages (ASP)
    • Rozšíření FrontPage Server Extensions, připojování, úpravy, andsaving, pokud je povoleno rozšíření FPSE, když použijete nástroj pro uzamčení
    • Zabezpečená připojení soketu vrstvy (SSL)

Obsah článku

Show all imageZobrazit všeHide all imageSkrýt vše

Přidělit vlastnictví a oprávnění správce a systému

Postupujte následujícím způsobem
  1. Spusťte Průzkumníka Windows. Chcete-li to provést, klepněte na tlačítkoStart, přejděte na příkaz programya klepněte na položkuPrůzkumník Windows.
  2. Rozbalte položku Tento počítač.
  3. Klepněte pravým tlačítkem myši systémové jednotky (obvykle je to jednotka C) a potom klepněte na příkaz Vlastnosti.
  4. Klepněte na kartu zabezpečení a potom klepněte na tlačítkoUpřesnit otevřete dialogové okno Nastavení řízení přístupu pro LocalDisk .
  5. Klepněte na kartu vlastník , zaškrtněte políčkoNahradit vlastníka v dílčích kontejnerech a objektech , andthen klepněte na tlačítko použít.

    Pokud se zobrazí následující errormessage, klepněte na tlačítko pokračovat:
    Pokud chybě byla aplikování zabezpečení to%systemdrive%\Pagefile.sys informace
  6. Pokud se zobrazí následující chybová zpráva, klepněte na tlačítkoAno:
    Nemáte oprávnění k readthe obsah adresáře %systemdrive%\System - informace o svazku se chcete nahradit oprávnění adresáře - všechna oprávnění budou nahrazeny grantingyou úplné řízení
  7. Klepnutím na tlačítko OK zavřete dialogové okno.
  8. Klepněte na tlačítko Přidat.
  9. Přidejte následující uživatele a udělit jim oprávnění FullControl NTFS:
    • Správce
    • Systém
    • Creator Owner
  10. Po přidání těchto oprávnění systému souborů NTFS, klepněte na tlačítkoUpřesnit, zaškrtněte políčko obnovit oprávnění pro allchild objekty a povolit šíření dědičných oprávnění a potom klepněte na tlačítko použít.
  11. Pokud se zobrazí následující chybová zpráva, klepněte na tlačítkopokračovat:
    Došlo k chybě applyingsecurity informace na %systemdrive%\Pagefile.sys
  12. Poté, co nastavíte oprávnění systému souborů NTFS, klepněte na tlačítkoOK.
  13. Klepněte na skupinu Everyone a klepněte na tlačítkoOdebrat.
  14. Otevřete vlastnosti složky soubory %systemdrive%\ProgramFiles\Common a potom klepněte na kartu zabezpečení .Přidáte účet používaný pro anonymní přístup. Ve výchozím nastavení, toto je theIUSR_<MachineName> účet. Pak přidejte skupiny Users. Přesvědčte se, zda thatonly jsou vybrány následující:<b00> </b00> </MachineName>
    • Čtení & provedení
    • Zobrazovat obsah složky
    • Pro čtení
  15. Otevřete vlastnosti pro kořenový adresář, který obsahuje obsah yourWeb. Ve výchozím nastavení se jedná o složce %systemdrive%\Inetpub\Wwwroot.Klepněte na kartu zabezpečení přidat IUSR_<MachineName>účtu a uživatelé, skupiny a zkontrolujte, že pouze následující areselected:<b00> </b00> </MachineName>
    • Čtení & provedení
    • Zobrazovat obsah složky
    • Pro čtení
  16. Pokud chcete udělit forInetpub\FTProot oprávnění Zápis NTFS nebo cestu k adresáři serveru FTP nebo weby, opakujte step15.

    Poznámka: Nedoporučujeme povolit zápis NTFS permissionsto anonymní účet ve všech adresářích, včetně adresářů používaných FTP služba používá. Tento cancause zbytečné odeslání dat na webový server.

Zakázat dědičnost v systémových adresářů

Postupujte následujícím způsobem
  1. Ve složce %systemroot%\System32 vyberte allfolders, kromě následujících:
    • Inetsrv
    • Certsrv (pokud existuje)
    • COM
  2. Zbývajících složek klepněte pravým tlačítkem myši, klepněte na příkazVlastnostia potom klepněte na kartu zabezpečení.
  3. Klepnutím zrušte zaškrtnutí políčka Povolit inheritablepermissions , klepněte na tlačítko Kopírovata potom klepněte na tlačítkoOK.
  4. Ve složce % systemroot % vyberte všechny exceptthe následující složky:
    • Sestavení (pokud existuje)
    • Stažené soubory programů
    • Nápověda
    • Microsoft.NET (pokud existuje)
    • Webové stránky offline
    • System32
    • Úkoly
    • Temp
    • Web
  5. Zbývajících složek klepněte pravým tlačítkem myši, klepněte na příkazVlastnostia potom klepněte na kartu zabezpečení.
  6. Klepnutím zrušte zaškrtnutí políčka Povolit inheritablepermissions , klepněte na tlačítko Kopírovata potom klepněte na tlačítkoOK.
  7. Použít následující oprávnění:
    1. Otevřít vlastnosti složky % systemroot %, klepněte na kartu zabezpečení , přidejte IUSR_<MachineName> </MachineName> a IWAM_<MachineName> </MachineName> účty a Uživatelé , skupiny a ujistěte se, zda jsou vybrány pouze následující:
      • Čtení & provedení
      • Zobrazovat obsah složky
      • Pro čtení
    2. Vyberte možnost Otevřít vlastnosti pro složku %systemroot%\Temp IUSR_<MachineName> </MachineName> účet (Tento účet již existuje protože dědí ze složky Winnt) a klepnutím vyberte zaškrtávací pole změnit . Opakujte tento krok pro IWAM_<MachineName> </MachineName> účtech a skupinách uživatelů .
    3. Pokud klienti rozšíření FrontPage Server, jako jsou používány aplikace FrontPage nebo aplikace Microsoft Visual InterDev, otevřete dialogové okno Vlastnosti ke složce %systemdrive%\Inetpub\Wwwroot, vyberte skupinu Authenticated Users , vyberte následující volby a klepněte na tlačítko OK:
      • Upravit
      • Čtení & provedení
      • Zobrazovat obsah složky
      • Pro čtení
      • Zápis

Oprávnění systému souborů NTFS

Následující tabulka obsahuje seznam oprávnění, které budou použity při provedení kroků v části "Zakázat dědičnost v adresářích systému". Tato tabulka je pouze pro referenci.

Chcete-li použít oprávnění v tabulce, postupujte takto:
  1. Spusťte Průzkumníka Windows. Klepněte na tlačítkoStart, přejděte na příkaz programy, na položkuPříslušenstvía potom klepněte na tlačítko WindowsExplorer.
  2. Rozbalte položku Tento počítač.
  3. % Kořenová_složka_systému %klepněte pravým tlačítkem myši a potom klepněte na příkazVlastnosti.
  4. Klepněte na kartu zabezpečení a potom klepněte na tlačítkoUpřesnit.
  5. Poklepejte na položku oprávněnía odpovídající nastavení v seznamu Použít selectthe.
Poznámka:V "vztahuje na" sloupec, termín, který odkazuje výchozí "Tato složka, podsložky a soubory."
Zmenšit tuto tabulkuRozšířit tuto tabulku
AdresářUsers\GroupsOprávněníPlatí pro
%systemroot%\ (c:\winnt)SprávceÚplné řízeníVýchozí
SystémÚplné řízení Výchozí
UsersČtení, spouštěníVýchozí
%systemroot%\System32SprávciÚplné řízení Výchozí
SystémÚplné řízeníVýchozí
UsersČtení, spouštěníVýchozí
%systemroot%\system32\inetsrvSprávciÚplné řízeníVýchozí
SystémÚplné řízení Výchozí
UsersČtení, spouštěníVýchozí
Inetpub\adminscripts SprávciÚplné řízeníVýchozí
Inetpub\urlscan (pokud existuje) SprávciÚplné řízeníVýchozí
SystémÚplné řízeníVýchozí
%systemroot%\System32\Inetsrv\MetaBackSprávciÚplné řízeníVýchozí
SystémÚplné řízeníVýchozí
%systemroot%\Help\iisHelp\CommonSprávciÚplné řízení Tato složka a soubory
SystémÚplné řízeníTato složka a soubory
IWAM_<Machinename></Machinename>Čtení, spouštěníTato složka a soubory
SítěÚplné řízeníTato složka a soubory
SlužbyTato složka a soubory
UsersČtení, spouštěníTato složka a soubory
Inetpub\Wwwroot (nebo obsahu adresáře)SprávciÚplné řízeníTato složka a soubory
SystémÚplné řízeníTato složka a soubory
IWAM_<MachineName></MachineName>Čtení, spouštěníTato složka a soubory
SlužbyČtení, spouštěníTato složka a soubory
SítěČtení, spouštěníTato složka a soubory
Volitelné **:UsersČtení, spouštěníTato složka a soubory

Poznámka: Pokud používáte rozšíření FrontPage Server Extensions, Authenticated Users nebo uživatelé skupiny musí mít oprávnění NTFS změnit, vytvořit, přejmenovat, napište nebo poskytují funkce, které může vývojář musí mít z aplikace FrontPage typu klienta, jako je například Visual InterDev 6.0 nebo FrontPage 2002.

Udělit oprávnění v registru

  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ Regedt32a potom klepněte na tlačítko OK. Donot použít Editor registru, protože to neumožňuje změnit oprávnění inWindows 2000.
  2. V editoru registru vyhledejte a vyberteHKEY_LOCAL_MACHINE.
  3. Rozbalte položku System, rozbalte položkuCurrentControlSeta poté rozbalte položkuslužby.
  4. Vyberte klíč IISADMIN , klepněte na položkuzabezpečení (nebo stiskněte klávesy ALT + S) a potom vyberteoprávnění (nebo stiskněte klávesu P).
  5. Klepnutím zrušte zaškrtnutí políčka Povolit dědičná permissionsfrom nadřazeného objektu na tento objekt , klepněte na tlačítkoKopírovata potom odeberte všechny uživatele s výjimkou:
    • Správci (povolit čtení a úplné řízení)
    • Systém (povolit čtení a úplné řízení)
  6. Klepněte na tlačítko OK.
  7. Opakujte kroky pro klíče MSFTPSVC.
  8. Vyberte klíče W3SVC , klepněte na kartuzabezpečenía potom klepněte na tlačítko oprávnění.
  9. Zrušte zaškrtnutí políčka Povolit dědičná permissionsfrom nadřazeného objektu na tento objekt a potom odeberte allentries, s výjimkou:
    • Správci (povolit čtení a úplné řízení)
    • Systém (povolit čtení a úplné řízení)
    • Sítě (čtení)
    • Služby (čtení)
    • IWAM_<MachineName> (čtení)</MachineName>
  10. Klepněte na tlačítko OK.

Registru

Následující tabulka obsahuje seznam oprávnění, které budou použity při provedení kroků v části "Udělit oprávnění v registru". Tato tabulka je pouze pro referenci.

Poznámka: Zkratka HKLM zastupuje HKEY_LOCAL_MACHINE.
Zmenšit tuto tabulkuRozšířit tuto tabulku
UmístěníUsers\GroupsOprávnění
HKLM\System\CurrentControlSet\Services\IISAdminSprávciÚplné řízení
SystémÚplné řízení
HKLM\System\CurrentControlSet\Services\MsFtpSvcSprávciÚplné řízení
SystémÚplné řízení
HKLM\System\CurrentControlSet\Services\w3svcSprávciÚplné řízení
SystémÚplné řízení
IWAM_<MachineName></MachineName>Pro čtení

Udělení oprávnění v místních zásadách zabezpečení

  1. Klepněte na tlačítko Start, klepněte na tlačítkoNastavenía potom klepněte na tlačítko ControlPanel.
  2. Poklepejte na položku Nástroje pro správu, andthen, poklepejte na položku Místní zásady zabezpečení.
  3. V dialogovém okně Místní nastavení zabezpečení rozbalte položku Místní zásadya potom klepněte na tlačítko RightsAssignment uživatele.
  4. Upravte příslušnou zásadu:
    1. Poklepejte na zásadu.
    2. Vyberte a klepněte na tlačítko Odebrat uživatele je v tabulce nejsou uvedeny.
    3. Přidáte libovolný uživatel, který není uveden v seznamu. Chcete-li to provést, klepněte na tlačítko Přidata v dialogovém okně Vyberte uživatele nebo skupiny vyberte uživatele.
Všimněte si, že vzhledem k tomu, že zásady řadiče domény potlačí místní zásady, ujistěte se, že Efektivní nastavení zásady odpovídá Nastavení místních zásad.

Zásady

Následující tabulka obsahuje oprávnění, které budou použity při provedení kroků v části "Udělení práva místní zásady zabezpečení".
Zmenšit tuto tabulkuRozšířit tuto tabulku
ZásadyUsers
Místní přihlášeníSprávci
IUSR_<MachineName> (anonymní)</MachineName>
Uživatelé (vyžadováno ověření)
Přístup k tomuto počítači ze sítě.Správci
ASPNet (rozhraní.NET Framework)
IUSR_<MachineName> (anonymní)</MachineName>
IWAM_<MachineName></MachineName>
Users
Přihlaste se jako dávková úlohaASPNet
Sítě
IUSR_<MachineName></MachineName>
IWAM_<MachineName></MachineName>
Služby
Přihlášení se jako službaASPNet
Sítě
Obejít křížovou kontroluSprávci
IUSR_<MachineName> (anonymní)</MachineName>
Uživatelé (Basic, integrovaný, Digest)
IWAM_<MachineName></MachineName>

Odkazy

Další informace o obnovení výchozích oprávnění systému souborů NTFS v systému Windows 2000 získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
266118 Obnovení výchozích oprávnění systému souborů NTFS v systému Windows 2000
260985 Minimální oprávnění NTFS vyžadovaná pro používají objekty CDONTS
324068 Nastavení služby IIS oprávnění pro určité objekty
815153 Postup při konfiguraci oprávnění systému souborů NTFS pro zabezpečení aplikací technologie ASP.NET

Další informace o požadovaných oprávnění pro službu IIS 6.0 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
812614 Výchozí oprávnění a uživatelská práva pro službu IIS 6.0

Další informace

Rolí serveru nebo aplikací, které nejsou uvedeny

Tento článek se nezabývá takové zvláštní bezpečnostní požadavky následujících rolí serveru nebo aplikací:
  • Řadič domény systému Windows 2000
  • Microsoft Exchange 5.5 nebo Microsoft Exchange 2000 OutlookWeb Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal nebo Team Services
  • Microsoft Commerce Server 2000 nebo Microsoft Commerce Server2002
  • Microsoft BizTalk Server 2000 nebo Microsoft BizTalk Server2002
  • Microsoft Content Management Server 2000 nebo MicrosoftContent Management Server 2002
  • Microsoft Application Center 2000
  • Aplikace jiných výrobců, které jsou závislé na dalších oprávnění

O tomto článku

ID článku: 271071
Poslední revize: 25. dubna 2014
Informace v tomto článku jsou určeny pro produkt:: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 271071
Chcete uvést svůj názor na tento článek?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.