Jak nastavit požadované oprávnění NTFS a uživatelská práva pro server IIS 5.0, IIS 5.1 nebo IIS 6.0 web

Překlady článku Překlady článku
ID článku: 271071 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento podrobný článek popisuje minimální oprávnění, které jsou požadovány pro vyhrazený Internetová informační služba (IIS) 5.0, IIS 5.1 nebo webového serveru služby IIS 6.0.

Upozornění Tento článek je platná pouze pro vyhrazenými webovými servery, které používají základní funkce služby IIS, jako je například obsluhující obsahu HTML statického obsahu nebo jednoduché stránky ASP (Active Server). Oprávnění požadavky, které jsou popsány v tomto článku jsou určeny pouze základní oprávnění vyhrazené serveru se systémem IIS 5. x nebo 6.0 Tento článek nepovažuje jiných Microsoft a produkty jiných výrobců, které mohou vyžadovat různá oprávnění. Doporučujeme články, které jsou specifické pro role serveru a před provedením změn oprávnění na provozní webový server provést testy. Odkazy na související články pro jiné produkty společnosti Microsoft naleznete v části "Odkazy".

Je-li použít tato oprávnění serveru IIS, které obsluhuje jiné role, jako například 5.5 Microsoft Exchange Server, Microsoft Exchange Server 2000 nebo aplikace jiných výrobců, které závisí na další oprávnění těchto produktů může pracovat podle očekávání.

Další informace o požadovaná oprávnění IIS 6.0 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
812614Výchozí oprávnění a uživatelská práva pro službu IIS 6.0
Testování pro tento dokument zahrnuty následující testy funkční:
  • Hypertext dokumentů (HTML)
  • Active Server Pages (ASP)
  • Rozšíření FrontPage Server Extensions, například připojování, úpravy a ukládání, pokud je povoleno FPSE, zatímco použít nástroj pro uzamčení
  • Zabezpečené připojení (SSL) Layers Socket
Tento dokument ani není adresa některou z požadavků na konkrétní zabezpečení následujících rolí serveru nebo aplikace:
  • Windows 2000 – řadič domény
  • Microsoft Exchange 5.5 nebo Exchange 2000 Outlook Web Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal nebo týmovou
  • Microsoft Commerce Server 2000 nebo Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 nebo Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 nebo Microsoft Content Management Server 2002
  • Microsoft Application Center 2000
Prostudujte si dokumentaci k serveru a aplikace pro specifické požadavky na zabezpečení. Odkazy na související články databáze Knowledge Base jsou poskytovány v části "Odkazy".

Před použitím oprávnění v tomto článku doporučujeme spustit aktuální verzi nástroje IIS Lockdown. Další informace o tomto nástroji naleznete na následujícím webu:
http://www.microsoft.com/technet/security/tools/locktool.mspx
Jako součást sady test, který byl použit k testování zabezpečení serveru po udělení oprávnění uvedených v tomto článku byly nainstalovány následující programy a služby:
  • Index služby
  • Terminálové služby
  • Skript Debugger
  • IIS
    • Společné soubory
    • dokumentaci
    • FrontPage Server Extensions 2000
    • Správce služeb Internetu (HTML)
    • WWW
    • FTP

Přidělit vlastnictví a oprávnění správce a systému

Přiřadit oprávnění v systému:
  1. Spusťte aplikaci Průzkumník Windows. Chcete-li to provést, klepněte na tlačítko Start, klepněte na příkaz programy a klepněte na položku Průzkumník.
  2. Rozbalte položku Tento počítač.
  3. Klepněte pravým tlačítkem myši systémové jednotky (obvykle je to jednotka C) a potom klepněte na příkaz Vlastnosti.
  4. Klepněte na kartu zabezpečení a potom klepněte na tlačítko Upřesnit otevřete dialogové okno Nastavení řízení přístupu pro místní disk.
  5. Klepněte na kartu vlastník, klepnutím zaškrtněte políčko Nahradit vlastníka v Sub kontejnerů a objektů a potom na tlačítko použít.

    Pokud se zobrazí následující chybová zpráva, klepněte na tlačítko pokračovat:
    Došlo k chybě vyrovnávací zabezpečovací informace pro %systemdrive%\Pagefile.sys
  6. Pokud se zobrazí následující chybová zpráva, klepněte na tlačítko Ano:
    Máte oprávnění ke čtení obsahu adresáře si Volume Information - chcete nahradit oprávnění adresáře - budou nahrazena všechna oprávnění udělení úplný
  7. Klepněte na tlačítko OK zavřete dialogové okno.
  8. Klepněte na tlačítko Přidat.
  9. Přidejte následující uživatele a udělit jim oprávnění systému NTFS k úplnému řízení:
    • Administrator
    • System
    • Vlastník vytváření úřadu
  10. Po přidání těchto oprávnění NTFS, klepněte na tlačítko Upřesnit, zaškrtněte políčko obnovit oprávnění na všechny podřízené objekty a povolit šíření dědičných oprávnění a klepněte na tlačítko použít.
  11. Pokud se zobrazí následující chybová zpráva, klepněte na tlačítko pokračovat:
    Došlo k chybě vyrovnávací zabezpečovací informace pro %systemdrive%\Pagefile.sys
  12. Po nastavíte oprávnění NTFS, klepněte na tlačítko OK.
  13. Klepněte na skupinu Everyone, klepněte na tlačítko Odebrat a potom klepněte na tlačítko OK.
  14. Otevřít vlastnosti složky %systemdrive%\Program Files\Common Files a klepněte na kartu zabezpečení. Přidat účet použitý pro anonymní přístup. Standardně je to IUSR_ <machinename>účtu. Poté přidejte skupiny Users. Ujistěte se, zda jsou vybrány pouze následující:
    • Číst a spouštět
    • Zobrazovat obsah složky
    • Čtení
  15. Otevřít vlastnosti pro kořenový adresář, který zastává obsahu webu. Podle výchozího nastavení je složka %systemdrive%\Inetpub\Wwwroot. Klepněte na kartu zabezpečení přidat IUSR_ <machinename>účtu a uživatelé, skupiny a ujistěte se, zda jsou vybrány pouze následující:
    • Číst a spouštět
    • Zobrazovat obsah složky
    • Čtení
  16. Pokud chcete udělit oprávnění zapisovat NTFS Inetpub\FTProot nebo cestu k adresáři pro server FTP nebo weby, opakujte krok 15.

    Poznámka: Nedoporučujeme udělit oprávnění NTFS Write anonymní účet všechny adresáře včetně adresářů používaných používá službu FTP. To může způsobit nepotřebných dat odeslány na webový server.

Zakázat dědičnost v systémových adresářích

  1. Ve složce %SystemRoot%\System32 vyberete všechny složky kromě následujících:
    • Inetsrv
    • Certsrv (pokud existuje)
    • COM
  2. Klepněte pravým tlačítkem myši zbývajících složek, klepněte na příkaz Vlastnosti a potom klepněte na příkaz zabezpečení kartu.
  3. Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění, klepněte na tlačítko Kopírovat a potom klepněte na tlačítko OK.
  4. Ve složce % systemroot % vyberete všechny složky kromě následujících:
    • Sestavení (pokud existuje)
    • Stažené programy
    • HELP
    • Microsoft.NET (pokud existuje)
    • Webové stránky offline
    • System32
    • Úkoly
    • Temp
    • Web
  5. Klepněte pravým tlačítkem myši zbývajících složek, klepněte na příkaz Vlastnosti a potom klepněte na příkaz zabezpečení kartu.
  6. Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění, klepněte na tlačítko Kopírovat a potom klepněte na tlačítko OK.
  7. Použít následující oprávnění:
    1. Otevřít vlastnosti složky % systemroot %, klepněte na kartu zabezpečení, přidání IUSR_<machinename> a IWAM_<machinename> účty a Uživatelé, skupiny a ujistěte se, zda jsou vybrány pouze následující:
      • Číst a spouštět
      • Zobrazovat obsah složky
      • Čtení
    2. Otevřít vlastnosti složky %systemroot%\Temp, vyberte IUSR_<machinename> účtu (Tento účet je již protože dědí z složka Winnt) a potom zaškrtněte políčko změnit. Opakujte tento krok IWAM_<machinename> účet a skupiny Users.
    3. Pokud klientů rozšíření serveru FrontPage například FrontPage nebo Microsoft Visual InterDev jsou používány, otevřít vlastnosti složky %systemdrive%\Inetpub\Wwwroot, vyberte skupinu Authenticated Users, vyberte následující a potom klepněte na tlačítko OK:
      • Upravit
      • Číst a spouštět
      • Zobrazovat obsah složky
      • Čtení
      • Zápis

Oprávnění systému souborů NTFS

Následující tabulka zobrazuje seznam oprávnění, která budou použita při postupujte podle kroků v části "Zakázat dědičnost v systémových adresářích". Tato tabulka je pro pouze odkaz.

Použít oprávnění v následující tabulce:
  1. Spusťte aplikaci Průzkumník Windows. Chcete-li to provést, klepněte na tlačítko Start, klepněte na příkaz programy, klepněte na položku Příslušenství a klepněte na položku Průzkumník.
  2. Rozbalte položku Tento počítač.
  3. Klepněte pravým tlačítkem myši % kořenová_složka_systému % a potom klepněte na příkaz Vlastnosti.
  4. Klepněte na kartu zabezpečení a potom klepněte na tlačítko Upřesnit.
  5. Poklepejte na položku oprávnění a vyberte příslušné nastavení ze seznamu použít.
Poznámka: Sloupec v text použít pro ”, termín odkazuje výchozí text této složky, podsložky a soubory. ”
Zmenšit tuto tabulkuRozšířit tuto tabulku
AdresářUsers\GroupsOprávněníPoužít
%systemroot%\ (c:\winnt)AdministratorÚplné řízeníVýchozí
SystemÚplné řízení Výchozí
UsersČtení, spouštěníVýchozí
%Systemroot%\System32AdministratorsÚplné řízení Výchozí
SystemÚplné řízeníVýchozí
UsersČtení, spouštěníVýchozí
%SystemRoot%\System32\InetsrvAdministratorsÚplné řízeníVýchozí
SystemÚplné řízení Výchozí
UsersČtení, spouštěníVýchozí
Inetpub\adminscripts AdministratorsÚplné řízeníVýchozí
Inetpub\urlscan (pokud existuje) AdministratorsÚplné řízeníVýchozí
SystemÚplné řízeníVýchozí
%systemroot%\System32\inetsrv\MetaBackAdministratorsÚplné řízeníVýchozí
SystemÚplné řízeníVýchozí
%systemroot%\Help\iisHelp\CommonAdministratorsÚplné řízení Tato složka a soubory
SystemÚplné řízeníTato složka a soubory
IWAM_ <machinename>Čtení, spouštěníTato složka a soubory
networkÚplné řízeníTato složka a soubory
SlužbaTato složka a soubory
UsersČtení, spouštěníTato složka a soubory
Inetpub\wwwroot (nebo obsahu adresáře)AdministratorsÚplné řízeníTato složka a soubory
SystemÚplné řízeníTato složka a soubory
IWAM_ <machinename>Čtení, spouštěníTato složka a soubory
SlužbaČtení, spouštěníTato složka a soubory
networkČtení, spouštěníTato složka a soubory
Volitelné **:UsersČtení, spouštěníTato složka a soubory

** Pokud používáte FrontPage Server Extensions, Authenticated Users nebo skupiny Users musí mít oprávnění změnit NTFS k vytvoření, přejmenování, zapisovat nebo poskytovat funkce vývojář může mít z typu FrontPage klienta, jako jsou například Visual InterDev 6.0 nebo FrontPage 2002.

Udělit oprávnění v registru

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedt32 a klepněte na tlačítko OK. Pomocí Editoru registru v protože jej neumožňuje změnit oprávnění v systému Windows 2000.
  2. V Editoru registru vyhledejte a vyberte HKEY_LOCAL_MACHINE.
  3. Rozbalte SystemCurrentControlSet rozbalte a poté rozbalte položku služby.
  4. Vyberte klíč IISADMIN, klepněte na položku zabezpečení (nebo stiskněte klávesy ALT + S) a potom vyberte oprávnění (nebo stiskněte klávesy P).
  5. Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění z nadřazeného objektu na tento objekt, klepněte na tlačítko Kopírovat a odebrat všechny uživatele s výjimkou:
    • Správci (umožňuje číst a úplný)
    • Systém (umožňuje číst a úplný)
  6. Klepněte na tlačítko OK.
  7. Opakujte kroky pro MSFTPSVC klíč.
  8. Vyberte klíče W3SVC, klepněte na položku zabezpečení a klepněte na tlačítko oprávnění.
  9. Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění z nadřazeného objektu na tento objekt a odebrat všechny položky s výjimkou:
    • Správci (umožňuje číst a úplný)
    • Systém (umožňuje číst a úplný)
    • Sítě (čtení)
    • Service (čtení)
    • IWAM_ <machinename>(čtení)
  10. Klepněte na tlačítko OK.

Registr

Následující tabulka zobrazuje seznam oprávnění, která budou použita při postupujte podle kroků v části "Udělit oprávnění v registru". Tato tabulka je pro pouze odkaz.

Poznámka: Akronym HKLM zastupuje HKEY_LOCAL_MACHINE.
Zmenšit tuto tabulkuRozšířit tuto tabulku
UmístěníUsers\GroupsOprávnění
HKLM\System\CurrentControlSet\Services\IISAdminAdministratorsÚplné řízení
SystemÚplné řízení
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministratorsÚplné řízení
SystemÚplné řízení
HKLM\System\CurrentControlSet\Services\w3svcAdministratorsÚplné řízení
SystemÚplné řízení
IWAM_ <machinename>Číst

Udělení práva v místní zásady zabezpečení

  1. Klepněte na tlačítko Start, klepněte na tlačítko Nastavení a klepněte na položku Ovládací panely.
  2. Poklepejte na panel Nástroje pro správu a potom poklepejte na položku Místní zásady zabezpečení.
  3. V dialogovém okně Místní nastavení zabezpečení rozbalte položku Místní zásady a potom klepněte na položku Přiřazení uživatelských práv.
  4. Změnit příslušné zásady:
    1. Poklepejte na zásadu.
    2. Vyberte a klepněte na tlačítko Odebrat pro uživatele, kteří nejsou uvedeny v tabulce.
    3. Přidat uživatele, který není uveden. Chcete-li to provést, klepněte na tlačítko Přidat a vyberte uživatele v dialogovém okně Vyberte uživatele nebo skupiny.
Poznámka:, protože zásady řadiče domény potlačí místní zásady, je nutné ověřit, zda Nastavení zásad skutečná odpovídá Nastavení místních zásad.

Zásady

Následující tabulka zobrazuje seznam oprávnění, která budou použita při postupujte podle kroků v části "Udělit práva v místních zásad zabezpečení".
Zmenšit tuto tabulkuRozšířit tuto tabulku
ZásadyUživatelé
Místní přihlášeníAdministrators
IUSR_ <machinename>(anonymní)
Uživatelé (požadováno ověřování)
Přístup k počítači ze sítěAdministrators
ASPNet (.NET Framework)
IUSR_ <machinename>(anonymní)
IWAM_ <machinename>
Users
Přihlaste se jako dávková úlohaASPNet
network
IUSR_ <machinename>
IWAM_ <machinename>
Služba
Přihlášení jako službyASPNet
network
Obejít křížovou kontroluAdministrators
IUSR_ <machinename>(anonymní)
Uživatelé (základní, integrované, Digest)
IWAM_ <machinename>

Požadované služby

Další informace o službách, které jsou nutné pro IIS 4.0 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
189271Seznam služeb, které jsou potřebné ke spuštění počítače IIS rozšířené zabezpečení

Odkazy

Další informace o obnovení výchozí oprávnění NTFS pro systém Windows 2000 klepněte na následující čísla následujících článcích databáze Microsoft Knowledge Base:
266118Obnovení výchozích oprávnění systému souborů NTFS v systému Windows 2000
260985Minimální oprávnění NTFS vyžadovaná používat objekty CDONTS
324068Jak nastavit oprávnění pro určité objekty IIS
815153Jak konfigurovat oprávnění souborů NTFS pro zabezpečení aplikací ASP.NET

Vlastnosti

ID článku: 271071 - Poslední aktualizace: 19. května 2009 - Revize: 16.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Klíčová slova: 
kbmt kbhowtomaster kbhowto kbpending kbprb KB271071 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:271071

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com