Sådan angives krævede NTFS-tilladelser og brugerrettigheder til en IIS 5.0-, IIS 5.1- eller IIS 6.0-webserver

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 271071 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

I denne trininddelte artikel beskrives de minimumtilladelser, der kræves til en dedikeret Internet Information Services (IIS) 5.0-, IIS 5.1- eller IIS 6.0-webserver.

Advarsel! Denne artikel gælder kun for dedikerede webservere, der bruger grundlæggende IIS-funktionalitet, f.eks. levering af statisk HTML-indhold eller enkelt Active Server Pages-indhold (ASP). De tilladelseskrav, der er beskrevet i denne artikel, er KUN specifikke for de grundlæggende tilladelser for en dedikeret webserver, der kører IIS 5.x eller 6.0 I artiklen tages der ikke højde for andre Microsoft-produkter eller produkter fra tredjeparter, som kan kræve andre tilladelser. Vi anbefaler, at du gennemgår artikler, der specifikt vedrører din webservers roller, og udfører test, før du foretager ændringer i tilladelser på en webserver til produktion. Hyperlinks til relaterede artikler om andre Microsoft-produkter, finder du under "Referencer" sektion.

Hvis du anvender disse tilladelser til en IIS-server, der har andre roller, f.eks. Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 eller tredjepartsprogrammer, der er afhængige af yderligere tilladelser, vil disse produkter muligvis ikke fungere som forventet.

Du kan få flere oplysninger om krævede tilladelser til IIS 6.0 ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
812614 Standardtilladelser og brugerrettigheder til IIS 6.0 . Artiklen er evt. på engelsk.
Test af dette dokument indeholdt følgende funktionelle test:
  • Dokumenter med Hypertext (HTML)
  • Active Server Pages (ASP)
  • FrontPage-serverudvidelser, f.eks. oprettelse af forbindelse, redigering og lagring, hvis FPSE er aktiveret, mens du bruger låseværktøjet
  • Secure Socket lag (SSL)-forbindelser
Dette dokument behandler ikke nogen af de specifikke sikkerhedsmæssige krav i følgende serverroller eller programmer:
  • Windows 2000 Domænecontroller
  • Microsoft Exchange 5.5 eller Microsoft Exchange 2000 Outlook Web Access.
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal eller Team Services
  • Microsoft Commerce Server 2000 eller Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 eller Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 eller Microsoft Content Management Server 2002
  • Microsoft Application Center 2000
Gennemgå dokumentation af server- og for særlige sikkerhedskrav. Der findes links til relaterede Knowledge Base-artikler i "Referencer" sektion.

Før du anvender tilladelserne i denne artikel, anbefaler vi, at du kører den nyeste version af låseværktøjet til IIS. Du kan finde flere oplysninger om dette værktøj på følgende Microsoft-websted:
http://technet.microsoft.com/da-dk/library/dd450372(WS.10).aspx
Følgende programmer og tjenester blev installeret som del af den testpakke, der blev brugt til at teste serversikkerhed efter tildeling af de tilladelser, der er skitseret i denne artikel:
  • Index Services
  • Terminal Services
  • Scriptdebugger
  • IIS
    • Fælles filer
    • Dokumentation
    • FrontPage Server Extensions 2000
    • Internet Services Manager (HTML)
    • WWW
    • FTP

Tildele ejerskab og tilladelser, administratoren, og systemet

til at tildele tilladelser til systemet:
  1. Åbn Windows Stifinder. Hvis du vil gøre dette, skal du klikke på Start, klik på programmer, og klik derefter på Windows Stifinder.
  2. Udvid Denne computer.
  3. Højreklik på systemdrevet (dette er normalt drev C), og klik derefter på Egenskaber for.
  4. Klik på fanen Sikkerhed, og klik derefter på Avanceret for at åbne dialogboksen Gå til kontrolindstillinger for lokal disk.
  5. Klik på fanen Ejer, klik for at markere afkrydsningsfeltet Erstat ejer i underordnede objektbeholdere og objekter, og klik derefter på Anvend.

    Klik på Fortsæt, når der vises følgende fejlmeddelelse:
    Der opstod en fejl brug af sikkerhedsoplysninger til %systemdrive%\Pagefile.sys
  6. Klik på Ja, når følgende fejlmeddelelse vises:
    Du har ikke tilladelse til at læse indholdet af mappen %systemdrive%\System Volume Information - Vil du erstatte mappetilladelsen - Al tilladelse erstattes, og du får fuld kontrol
  7. Klik på OK for at lukke dialogboksen.
  8. Klik på Tilføj.
  9. Tilføj følgende brugere og give dem fuld Control NTFS-tilladelse:
    • Administrator
    • System
    • Creator Owner
  10. Når du har tilføjet disse NTFS-tilladelser, skal du klikke på Avanceret, klikke for at markere afkrydsningsfeltet Nulstil tilladelse for alle underordnede objekter, og aktivér overførsel af tilladelser, der kan arves, og klik derefter på Anvend.
  11. Klik på Fortsæt, når der vises følgende fejlmeddelelse:
    Der opstod en fejl brug af sikkerhedsoplysninger til %systemdrive%\Pagefile.sys
  12. Når du har nulstillet NTFS-tilladelser, skal du klikke på OK.
  13. Klik på den alle gruppe, skal du klikke på fjerner, og klik derefter på OK.
  14. Åbn egenskaber for mappen c:\Programmer\Fælles filer %systemdrive%\Program, og klik derefter på Security under fanen. Føje den konto, der bruges til anonym adgang. Som standard er dette IUSR_<MachineName> konto. Derefter skal du tilføje gruppen brugere. Kontroller, at kun følgende er markeret:
    • Læs & Udfør
    • Visning af mappeindhold
    • Læs
  15. Åbn egenskaber for rodmappen, der indeholder Web-indhold. Som standard er mappen %systemdrive%\Inetpub\Wwwroot. Klik på fanen Sikkerhed, tilføj kontoen IUSR_<MachineName> og gruppen Brugere, og kontrollér derefter, at kun følgende er markeret:
    • Læs & Udfør
    • Visning af mappeindhold
    • Læs
  16. Hvis du vil give NTFS-tilladelsen Skriv til Inetpub\FTProot eller mappestien til dit FTP-sted eller -steder, skal du gentage trin 15.

    Bemærk! Vi anbefaler ikke, at du tildeler NTFS-skrivetilladelser til den anonyme konto i nogen af mapperne, herunder mapper der bruges af FTP-tjenesterne. Dette kan medføre unødvendige data er overført til din webserver.

Deaktivere nedarvning i systemmapper

  1. I mappen % SystemRoot%\System32, skal du markere alle mapper undtagen følgende:
    • Inetsrv
    • Certsrv (hvis den findes)
    • COM
  2. Højreklik på de resterende mapper, klik på Egenskaber, og klik derefter på fanen Sikkerhed.
  3. Klik for at fjerne den underobjekter afkrydsningsfeltet, og klik på kopi, og klik derefter på OK.
  4. I mappen % systemrod % skal du vælge alle mapper undtagen følgende:
    • Assembly (hvis den findes)
    • Hentede programfiler
    • Hjælp
    • Microsoft.NET (hvis den findes)
    • Offline-websider
    • System32
    • Opgaver
    • Temp
    • Web
  5. Højreklik på de resterende mapper, klik på Egenskaber, og klik derefter på fanen Sikkerhed.
  6. Klik for at fjerne den underobjekter afkrydsningsfeltet, og klik på kopi, og klik derefter på OK.
  7. Du kan anvende tilladelser på følgende:
    1. Åbn egenskaberne for mappen %systemroot%, klik på fanen Sikkerhed, tilføj kontiene IUSR_<MachineName> og IWAM_<MachineName> og gruppen Brugere, og kontrollér så, at kun følgende er markeret:
      • Læs & Udfør
      • Visning af mappeindhold
      • Læs
    2. Åbn egenskaberne for mappen %systemroot%\Temp, markér kontoen IUSR_<MachineName> (denne konto findes allerede, fordi den arver fra mappen Winnt), og klik derefter for at markere afkrydsningsfeltet Rediger. Gentag dette trin for den IWAM_<MachineName > konto og brugere gruppe.
    3. Hvis FrontPage Server Extension-klienter som FrontPage eller Microsoft Visual InterDev anvendes, skal du åbne egenskaberne for mappen %systemdrive%\Inetpub\Wwwroot, markere gruppen Godkendte brugere, markere følgende og derefter klikke på OK:
      • Rediger
      • Læs & Udfør
      • Visning af mappeindhold
      • Læs
      • Skrivning

NTFS-tilladelser

I følgende tabel vises de tilladelser, der anvendes, når du følger trinnene i sektionen "Deaktivere nedarvning i systemmapper". Denne tabel er kun til reference.

Anvende tilladelser i den følgende tabel:
  1. Åbn Windows Stifinder. Det gør du ved at klikke på Start, klikke på Programmer, klikke på Tilbehør og derefter klikke på Windows Explorer.
  2. Udvid Denne computer.
  3. Højreklik på %systemroot%, og klik derefter på Egenskaber.
  4. Klik på fanen Sikkerhed, og klik derefter på Avanceret.
  5. Dobbeltklik på tilladelse, og derefter vælge den relevante indstilling fra den Anvendes til på listen.
Bemærk kolonne i den "gælder for", begrebet standard refererer til"denne mappe, undermapper, filer."
Skjul tabellenUdvid tabellen
Mappe Brugere\grupper TilladelserAnvend på
%systemroot%\ (c:\winnt)AdministratorFuld kontrolStandard
SystemFuld kontrol Standard
BrugereLæs, udførStandard
%systemroot%\system32AdministratorerFuld kontrol Standard
SystemFuld kontrolStandard
BrugereLæs, udførStandard
%systemroot%\system32\inetsrvAdministratorerFuld kontrolStandard
SystemFuld kontrol Standard
BrugereLæs, udførStandard
Inetpub\administrationsscripts som standard AdministratorerFuld kontrolStandard
Inetpub\urlscan (hvis den findes) AdministratorerFuld kontrolStandard
SystemFuld kontrolStandard
%systemroot%\system32\inetsrv\metabackAdministratorerFuld kontrolStandard
SystemFuld kontrolStandard
%systemroot%\help\iishelp\commonAdministratorerFuld kontrol Denne mappe og filer
SystemFuld kontrolDenne mappe og filer
IWAM_<Machinename>Læs, udførDenne mappe og filer
NetværkFuld kontrolDenne mappe og filer
TjenesteDenne mappe og filer
BrugereLæs, udførDenne mappe og filer
Inetpub\wwwroot (eller indholdsmapper)AdministratorerFuld kontrolDenne mappe og filer
SystemFuld kontrolDenne mappe og filer
IWAM_<Machinename>Læs, udførDenne mappe og filer
TjenesteLæs, udførDenne mappe og filer
NetværkLæs, udførDenne mappe og filer
Valgfrit**:BrugereLæs, udførDenne mappe og filer

** Hvis du bruger FrontPage-serverudvidelser, skal godkendte brugere eller brugergrupper have Skift NTFS-tilladelsen til at oprette, omdøbe, skrive eller levere funktionalitet, som en udvikler muligvis skal have fra en klient af FrontPage-typen, f.eks. Visual InterDev 6.0 eller FrontPage 2002.

Tildele rettigheder i registreringsdatabasen

  1. Klik på Start, klik på Kør, skriv regedt32, og klik derefter på OK. Undlad at bruge Registreringseditor, fordi det kan du ikke ændre tilladelser i Windows 2000.
  2. Find og vælg i Registreringseditor HKEY_LOCAL_MACHINE.
  3. Udvid System, udvid CurrentControlSet, og udvid derefter Services.
  4. Vælg nøglen IISADMIN, klik på Sikkerhed (eller tryk på ALT+S), og vælg derefter Tilladelser (eller tryk på P).
  5. Klik for at fjerne markeringen i afkrydsningsfeltet Lad tilladelser, der kan arves fra overordnede, blive overført til dette objektt, klik på Kopiér, og fjern derefter alle brugere undtagen:
    • Administratorer (tillade læsning og fuld kontrol)
    • System (tillade læsning og fuld kontrol)
  6. Klik på OK.
  7. Gentag fremgangsmåden for de MSFTPSVC nøgle.
  8. Vælg den W3SVC nøgle, og klik på Security, og klik derefter på tilladelser.
  9. Klik for at fjerne markeringen i afkrydsningsfeltet Lad tilladelser, der kan arves fra overordnede, blive overført til dette objekt, og fjern derefter alle indtastninger undtagen:
    • Administratorer (tillade læsning og fuld kontrol)
    • System (tillade læsning og fuld kontrol)
    • Netværk (læsning)
    • Service (læsning)
    • IWAM_<MachineName> (læses)
  10. Klik på OK.

Registreringsdatabase

I følgende tabel vises de tilladelser, der anvendes, når du følger trinnene i sektionen "Deaktivere nedarvning i systemmapper". Denne tabel er kun til reference.

Bemærk akronym HKLM, der står for HKEY_LOCAL_MACHINE.
Skjul tabellenUdvid tabellen
PlaceringBrugere\grupperTilladelser
HKLM\System\CurrentControlSet\Services\IISAdminAdministratorerFuld kontrol
SystemFuld kontrol
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministratorerFuld kontrol
SystemFuld kontrol
HKLM\System\CurrentControlSet\Services\w3svcAdministratorerFuld kontrol
SystemFuld kontrol
IWAM_<Machinename>Læs

Tildel rettigheder i den lokale sikkerhedspolitik.

  1. Klik på Start, klik på Indstillinger, og klik derefter på Kontrolpanel.
  2. Dobbeltklik på Administration, og dobbeltklik derefter på Lokal sikkerhedspolitik.
  3. I dialogboksen Lokale sikkerhedsindstillinger skal du udvide Lokale politikker og derefter klikke på Tildeling af brugerrettigheder.
  4. Ændre den pågældende politik:
    1. Dobbeltklik på politikken.
    2. Marker, og klik derefter på fjerner for alle brugere, der er ikke er angivet i tabellen.
    3. Tilføje alle brugere, der ikke er angivet. Det gør du ved at klikke på Tilføj og derefter vælge brugeren i dialogboksen Vælg brugere eller grupper.
Bemærk, at fordi en domænecontrollerpolitik tilsidesætter den lokale politik, skal du sikre dig, at Gældende politikindstillinger svarer til Lokal politikindstilling.

Politikker

I følgende tabel vises de tilladelser, der vil blive anvendt, når du følger trinnene i sektionen "Tildele rettigheder i den lokale sikkerhedspolitik".
Skjul tabellenUdvid tabellen
PolitikBrugere
Logge på lokaltAdministratorer
IUSR_<MachineName> (anonym)
Brugere (godkendelse kræves)
Få adgang til denne computer fra netværketAdministratorer
ASPNet (.NET Framework)
IUSR_<MachineName> (anonym)
IWAM_<Machinename>
Brugere
Log på som et batchjobASPNet
Netværk
IUSR_<MachineName>
IWAM_<Machinename>
Tjeneste
Logon som en tjenesteASPNet
Netværk
Spring krydstjek overAdministratorer
IUSR_<MachineName> (anonym)
Brugere (Basic, integreret, Digest)
IWAM_<Machinename>

Nødvendige tjenester

Du kan få flere oplysninger om de tjenester, du skal have til IIS 4,0 ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
189271 Listen over tjenester, der er nødvendige for at køre en udvidet sikkerhed IIS-computer . Artiklen er evt. på engelsk.

Referencer

Du kan få flere oplysninger om, hvordan du kan gendanne NFTS-standardtilladelser til Windows 2000, ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
266118 Sådan gendannes NTFS-standardtilladelser til Windows 2000 . Artiklen er evt. på engelsk.
260985 Mindste NTFS-tilladelser, der kræves for at bruge CDONTS . Artiklen er evt. på engelsk.
324068 Sådan angives IIS-tilladelser for specifikke objekter . Artiklen er evt. på engelsk.
815153 Hvordan du konfigurerer NTFS-tilladelser for sikkerheden af ASP.NET-programmer . Artiklen er evt. på engelsk.
Bemærk! Dette er en artikel til hurtig udgivelse, som er oprettet direkte i Microsofts supportafdeling. Oplysningerne i artiklen præsenteres som de og behandler aktuelle problemer. Fordi artiklen er blevet udgivet hurtigt, kan der forekomme slåfejl, og artiklen kan blive redigeret uden varsel. Se andre forbehold under Vilkår for anvendelse.

Egenskaber

Artikel-id: 271071 - Seneste redigering: 22. maj 2012 - Redigering: 1.0
Oplysningerne i denne artikel gælder:
Nøgleord: 
kbhowtomaster kbhowto kbpending kbprb KB271071

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com