Sådan angives krævede NTFS-tilladelser og brugerrettigheder til en IIS 5.0-, IIS 5.1- eller IIS 6.0-webserver

I denne trininddelte artikel beskrives de minimumtilladelser, der kræves til en dedikeret Internet Information Services (IIS) 5.0-, IIS 5.1- eller IIS 6.0-webserver.

Advarsel! Denne artikel gælder kun for dedikerede webservere, der bruger grundlæggende IIS-funktionalitet, f.eks. levering af statisk HTML-indhold eller enkelt Active Server Pages-indhold (ASP). De tilladelseskrav, der er beskrevet i denne artikel, er KUN specifikke for de grundlæggende tilladelser for en dedikeret webserver, der kører IIS 5.x eller 6.0 I artiklen tages der ikke højde for andre Microsoft-produkter eller produkter fra tredjeparter, som kan kræve andre tilladelser. Vi anbefaler, at du gennemgår artikler, der specifikt vedrører din webservers roller, og udfører test, før du foretager ændringer i tilladelser på en webserver til produktion. Hyperlinks til relaterede artikler om andre Microsoft-produkter, finder du under "Referencer" sektion.

Hvis du anvender disse tilladelser til en IIS-server, der har andre roller, f.eks. Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 eller tredjepartsprogrammer, der er afhængige af yderligere tilladelser, vil disse produkter muligvis ikke fungere som forventet.

Du kan få flere oplysninger om krævede tilladelser til IIS 6.0 ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base: Test af dette dokument indeholdt følgende funktionelle test:

• Dokumenter med Hypertext (HTML)
• Active Server Pages (ASP)
• FrontPage-serverudvidelser, f.eks. oprettelse af forbindelse, redigering og lagring, hvis FPSE er aktiveret, mens du bruger låseværktøjet
• Secure Socket lag (SSL)-forbindelser

Dette dokument behandler ikke nogen af de specifikke sikkerhedsmæssige krav i følgende serverroller eller programmer:

• Windows 2000 Domænecontroller
• Microsoft Exchange 5.5 eller Microsoft Exchange 2000 Outlook Web Access.
• Microsoft Small Business Server 2000
• Microsoft SharePoint Portal eller Team Services
• Microsoft Commerce Server 2000 eller Microsoft Commerce Server 2002
• Microsoft BizTalk Server 2000 eller Microsoft BizTalk Server 2002
• Microsoft Content Management Server 2000 eller Microsoft Content Management Server 2002
• Microsoft Application Center 2000

Gennemgå dokumentation af server- og for særlige sikkerhedskrav. Der findes links til relaterede Knowledge Base-artikler i "Referencer" sektion.

Før du anvender tilladelserne i denne artikel, anbefaler vi, at du kører den nyeste version af låseværktøjet til IIS. Du kan finde flere oplysninger om dette værktøj på følgende Microsoft-websted: Følgende programmer og tjenester blev installeret som del af den testpakke, der blev brugt til at teste serversikkerhed efter tildeling af de tilladelser, der er skitseret i denne artikel:

• Index Services
• Terminal Services
• Scriptdebugger
• IIS
  • Fælles filer
  • Dokumentation
  • FrontPage Server Extensions 2000
  • Internet Services Manager (HTML)
  • WWW
  • FTP

Tildele ejerskab og tilladelser, administratoren, og systemet

til at tildele tilladelser til systemet:

1. Åbn Windows Stifinder. Hvis du vil gøre dette, skal du klikke på Start, klik på programmer, og klik derefter på Windows Stifinder.
2. Udvid Denne computer.
3. Højreklik på systemdrevet (dette er normalt drev C), og klik derefter på Egenskaber for.
4. Klik på fanen Sikkerhed, og klik derefter på Avanceret for at åbne dialogboksen Gå til kontrolindstillinger for lokal disk.
5. Klik på fanen Ejer, klik for at markere afkrydsningsfeltet Erstat ejer i underordnede objektbeholdere og objekter, og klik derefter på Anvend.
   
   Klik på Fortsæt, når der vises følgende fejlmeddelelse:
   Der opstod en fejl brug af sikkerhedsoplysninger til %systemdrive%\Pagefile.sys
6. Klik på Ja, når følgende fejlmeddelelse vises:
   Du har ikke tilladelse til at læse indholdet af mappen %systemdrive%\System Volume Information - Vil du erstatte mappetilladelsen - Al tilladelse erstattes, og du får fuld kontrol
7. Klik på OK for at lukke dialogboksen.
8. Klik på Tilføj.
9. Tilføj følgende brugere og give dem fuld Control NTFS-tilladelse:
   • Administrator
   • System
   • Creator Owner
10. Når du har tilføjet disse NTFS-tilladelser, skal du klikke på Avanceret, klikke for at markere afkrydsningsfeltet Nulstil tilladelse for alle underordnede objekter, og aktivér overførsel af tilladelser, der kan arves, og klik derefter på Anvend.
11. Klik på Fortsæt, når der vises følgende fejlmeddelelse:
    Der opstod en fejl brug af sikkerhedsoplysninger til %systemdrive%\Pagefile.sys
12. Når du har nulstillet NTFS-tilladelser, skal du klikke på OK.
13. Klik på den alle gruppe, skal du klikke på fjerner, og klik derefter på OK.
14. Åbn egenskaber for mappen c:\Programmer\Fælles filer %systemdrive%\Program, og klik derefter på Security under fanen. Føje den konto, der bruges til anonym adgang. Som standard er dette IUSR_<MachineName> konto. Derefter skal du tilføje gruppen brugere. Kontroller, at kun følgende er markeret:
    • Læs & Udfør
    • Visning af mappeindhold
    • Læs
15. Åbn egenskaber for rodmappen, der indeholder Web-indhold. Som standard er mappen %systemdrive%\Inetpub\Wwwroot. Klik på fanen Sikkerhed, tilføj kontoen IUSR_<MachineName> og gruppen Brugere, og kontrollér derefter, at kun følgende er markeret:
    • Læs & Udfør
    • Visning af mappeindhold
    • Læs
16. Hvis du vil give NTFS-tilladelsen Skriv til Inetpub\FTProot eller mappestien til dit FTP-sted eller -steder, skal du gentage trin 15.
    
    Bemærk! Vi anbefaler ikke, at du tildeler NTFS-skrivetilladelser til den anonyme konto i nogen af mapperne, herunder mapper der bruges af FTP-tjenesterne. Dette kan medføre unødvendige data er overført til din webserver.

Deaktivere nedarvning i systemmapper

1. I mappen % SystemRoot%\System32, skal du markere alle mapper undtagen følgende:
   • Inetsrv
   • Certsrv (hvis den findes)
   • COM
2. Højreklik på de resterende mapper, klik på Egenskaber, og klik derefter på fanen Sikkerhed.
3. Klik for at fjerne den underobjekter afkrydsningsfeltet, og klik på kopi, og klik derefter på OK.
4. I mappen % systemrod % skal du vælge alle mapper undtagen følgende:
   • Assembly (hvis den findes)
   • Hentede programfiler
   • Hjælp
   • Microsoft.NET (hvis den findes)
   • Offline-websider
   • System32
   • Opgaver
   • Temp
   • Web
5. Højreklik på de resterende mapper, klik på Egenskaber, og klik derefter på fanen Sikkerhed.
6. Klik for at fjerne den underobjekter afkrydsningsfeltet, og klik på kopi, og klik derefter på OK.
7. Du kan anvende tilladelser på følgende:
   1. Åbn egenskaberne for mappen %systemroot%, klik på fanen Sikkerhed, tilføj kontiene IUSR_<MachineName> og IWAM_<MachineName> og gruppen Brugere, og kontrollér så, at kun følgende er markeret:
      • Læs & Udfør
      • Visning af mappeindhold
      • Læs
   2. Åbn egenskaberne for mappen %systemroot%\Temp, markér kontoen IUSR_<MachineName> (denne konto findes allerede, fordi den arver fra mappen Winnt), og klik derefter for at markere afkrydsningsfeltet Rediger. Gentag dette trin for den IWAM_<MachineName > konto og brugere gruppe.
   3. Hvis FrontPage Server Extension-klienter som FrontPage eller Microsoft Visual InterDev anvendes, skal du åbne egenskaberne for mappen %systemdrive%\Inetpub\Wwwroot, markere gruppen Godkendte brugere, markere følgende og derefter klikke på OK:
      • Rediger
      • Læs & Udfør
      • Visning af mappeindhold
      • Læs
      • Skrivning

Du kan få flere oplysninger om, hvordan du kan gendanne NFTS-standardtilladelser til Windows 2000, ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base: