Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Denne artikel beskriver, hvordan du indstiller de minimumtilladelser, der kræves til en dedikeret Internet Information Services (IIS) 5.0, IIS 5.1 eller IIS 6.0 webserver. 

Begrænsningen for denne artikel

AdvarselDenne artikel er kun gyldig for dedikerede Webservere, der anvender grundlæggende IIS-funktioner, såsom at betjene HTML statisk indhold eller enkle Active Server Pages (ASP) indhold. Kravene om tilladelser, der er beskrevet i denne artikel er kun specifikke for de grundlæggende rettigheder til en dedikeret webserver, der kører IIS 5.x eller IIS 6.0. Denne artikel omhandler ikke andre Microsoft og tredjepartsprodukter, der kan kræve andre tilladelser. Du kan gennemse server og programdokumentation for specifikke sikkerhedskrav. Vi anbefaler, at du gennemgår de relaterede artikler, der er specifikke for din webservers roller.

Testtrin før konfiguration af tilladelser i et produktionsmiljø

Før du ændrer tilladelser på en webserver til produktion, anbefaler vi, at du udfører følgende trin:

  1. Kør den mest aktuelle version af IIS-låseværktøjet. De følgende programmer og services blev installeret som en del af testsuiten, der blev brugt til at teste serversikkerhed efter udstedelse af de tilladelser, der er beskrevet i denne artikel:

    • Indekstjenester

    • Terminal Services

    • Scriptfejlfinding

    • IIS

      • Fælles filer

      • Dokumentation

      • FrontPage Server Extensions 2000

      • Internet Services Manager (HTML)

      • WWW

      • FTP

  2. Udfør de følgende funktionelle tests:

    • Hypertekst dokumenter (HTML)

    • Active Server Pages (ASP)

    • FrontPage Server Extensions, som eksempelvis forbindelse, redigering og lagring, hvis FPSE er aktiveret, mens du bruger låseværktøjet

    • Secure Sockets Layers (SSL) forbindelser

Tildel ejerskab og tilladelse til administratoren og systemet

Benyt nedenstående fremgangsmåde for at gøre dette:

  1. Åbn Windows Stifinder. Det gør du ved at klikke på Start, klikke på Programmer og derefter klikke på
    Windows Stifinder

  2. Udvid Min Computer.

  3. Højreklik på systemdrevet (dette er normalt drev C), og klik derefter på Egenskaber.

  4. Klik på Sikkerhed-fanen, og klik derefter på Avanceret for at åbne Adgangskontrolindstillinger for lokal disk-dialogboksen.

  5. Klik på Ejer-fanen, klik for at vælge Erstat ejer af Sub-objektbeholdere og objekter- afkrydsningsfeltet, og klik derefter på Anvend.

    Klik på Fortsæt, hvis du får følgende fejlmeddelelse:

    En fejl er opstået ved anvendelse af sikkerhedsoplysninger på %systemdrive%\Pagefile.sys

  6. Klik på Ja, hvis der vises følgende fejlmeddelelse.

    Du har ikke tilladelse til at læse indholdet af mappen %systemdrive%\System Volume Information - Ønsker du at erstatte mappetilladelsen - Alle tilladelser vil blive erstattet og give dig Fuld kontrol

  7. Klik på OK for at lukke dialogboksen.

  8. Klik på Tilføj.

  9. Tilføj følgende brugere, og tildel dem derefter tilladelsen Full Control NTFS:

    • Administrator

    • System

    • (Creator Owner) Opretter, ejer

  10. Når du har tilføjet disse NTFS-tilladelser, klik på Avanceret, klik for at vælge Nulstil tilladelser for alle underobjekter og aktivere overførsel af nedarvede tilladelser-afkrydsningsfeltet, og klik derefter på Anvend.

  11. Klik på Fortsæt, hvis følgende fejlmeddelelse vises:

    En fejl er opstået ved anvendelse af sikkerhedsoplysninger på %systemdrive%\Pagefile.sys

  12. Når du har nulstillet NTFS-tilladelser, skal du klikke på OK.

  13. Klik på gruppen Alle, klik på Slet, og klik derefter på OK.

  14. Åbn egenskaberne for mappen %systemdrive%\Programfiler\Fælles filer og klik derefter på Sikkerhed-fanen. Tilføj kontoen, der anvendes til anonym adgang. Som standard er dette IUSR_<MachineName>kontoen. Tilføj derefter gruppen Brugere. Sørg for at kun følgende er markeret:

    • Læs og udfør

    • Visning af mappeindhold

    • Læsning

  15. Åbn egenskaberne for rodmappen, der indeholder dit Web-indhold. Som standard er dette %systemdrive%\Inetpub\Wwwroot mappen. Klik på Sikkerhed fanen, tilføj kontoen IUSR_<MachineName> og gruppen Brugere, og kontroller, at kun følgende er valgt:

    • Læs og udfør

    • Visning af mappeindhold

    • Læsning

  16. Hvis du vil tildele NTFS-tilladelse til at skrive til Inetpub\FTProot eller mappestien for dit FTP-sted eller websteder, skal du gentage trin 15.

    Bemærk Vi anbefaler ikke at du tildeler NTFS skrivetilladelser til den anonyme konto i nogen mapper, herunder mapper, der bruges af FTP-tjenesten. Dette kan medføre, at unødvendig data uploades til din webserver.

Deaktiver nedarvning i systemmapper

Benyt nedenstående fremgangsmåde for at gøre dette:

  1. Vælg alle mapper I mappen %systemroot%\System32 med undtagelse af følgende:

    • Inetsrv

    • Certsrv (hvis tilstede)

    • COM

  2. Højreklik på de resterende mapper, klik på Egenskaber, og klik derefter på fanen Sikkerhed

  3. Fjern markeringen af afkrydsningsfeltet Tillad nedarvning af tilladelser, klik Kopier og klik derefter på OK.

  4. I mappen % systemroot %, skal du vælge alle mapper med undtagelse af følgende:

    • Assembly (hvis tilstede)

    • Hentede Programfiler

    • Hjælp

    • Microsoft.NET (hvis tilstede)

    • Offline Websider

    • System32

    • Opgaver

    • Temp

    • Web

  5. Højreklik på de tilbageværende mapper, klik på Egenskaber, og klik derefter på fanen Sikkerhed.

  6. Fjern markeringen af afkrydsningsfeltet Tillad nedarvning af tilladelser, klik Kopier og klik derefter på OK.

  7. Anvend tilladelser til følgende:

    1. Åbn egenskaberne for mappen % systemroot %, klik på fanen Sikkerhed, tilføj IUSR_<MachineName> og IWAM_<MachineName> konti og Brugere gruppen og kontroller derefter, at kun følgende er valgt:

      • Læs og udfør

      • Visning af mappeindhold

      • Læsning

    2. Åbn egenskaberne for mappen %SystemRoot%\Temp, vælg IUSR_<MachineName> kontoen (denne konto er allerede til stede, fordi den nedarver fra mappen Winnt), og klik derefter for at vælge Rediger afkrydsningsfeltet. Gentag dette trin for IWAM_<MachineName>kontoen og den
      Brugere gruppe.

    3. Hvis FrontPage Server Extension klienter såsom FrontPage eller Microsoft Visual InterDev anvendes, åbn egenskaberne for mappen %systemdrive%\Inetpub\Wwwroot, vælg gruppen Godkendte brugere, vælg følgende, og klik derefter på OK:

      • Ændre

      • Læs og udfør

      • Visning af mappeindhold

      • Læsning

      • Skrivning

NTFS-tilladelser

I følgende tabel vises de tilladelser, der skal anvendes, når du følger trinnene i afsnittet "Deaktiver nedarvning i systemmapper". Denne tabel er kun til reference.

 For at anvende tilladelserne i fælgende tabel, følg disse trin:

  1. Åbn Windows Stifinder. For at gøre det skal du klikke på Start, klik på Programmer, klik på Tilbehør, og klik derefter på Windows Stifinder.

  2. Udvid Min Computer.

  3. Højreklik på %systemroot%, og klik derefter på Egenskaber.

  4. Klik på fanen Sikkerhed, og klik derefter på Avanceret.

  5. Dobbeltklik på Tilladelse, og vælg derefter den ønskede indstilling fra Anvend på-listen.

BemærkI "Gælder for" kolonnen, refererer udtrykket Standard til "Denne mappe, undermapper og filer."

Bibliotek

Brugere\Grupper

Permissions

Gælder for

%SystemRoot%\ (c:\winnt)

Administrator

Fuld kontrol

Standard

System

Fuld kontrol

Standard

Users

Læs, udfør

Standard

%systemroot%\system32

Administratorer

Fuld kontrol

Standard

System

Fuld kontrol

Standard

Users

Læs, udfør

Standard

%systemroot%\system32\inetsrv

Administratorer

Fuld kontrol

Standard

System

Fuld kontrol

Standard

Users

Læs, udfør

Standard

Inetpub\adminscripts

Administratorer

Fuld kontrol

Standard

Inetpub\urlscan (hvis tilstede)

Administratorer

Fuld kontrol

Standard

System

Fuld kontrol

Standard

%systemroot%\system32\inetsrv\metaback

Administratorer

Fuld kontrol

Standard

System

Fuld kontrol

Standard

%SystemRoot%\help\iishelp\common

Administratorer

Fuld kontrol

Denne mappe og filer

System

Fuld kontrol

Denne mappe og filer

IWAM_<Machinename>

Læs, udfør

Denne mappe og filer

Netværk

Fuld kontrol

Denne mappe og filer

Tjeneste

Denne mappe og filer

Users

Læs, udfør

Denne mappe og filer

Inetpub\wwwroot (eller indholdsmapper)

Administratorer

Fuld kontrol

Denne mappe og filer

System

Fuld kontrol

Denne mappe og filer

IWAM_<MachineName>

Læs, udfør

Denne mappe og filer

Tjeneste

Læs, udfør

Denne mappe og filer

Netværk

Læs, udfør

Denne mappe og filer

Valgfrit**:

Users

Læs, udfør

Denne mappe og filer


Bemærk Hvis du bruger FrontPage-serverudvidelser, skal Godkendte brugere eller gruppen Brugere have Skift NTFS-tilladelse til at oprette, omdøbe, skrive eller levere den funktionalitet, som en udvikler måske skal have fra en FrontPage-type af klient, Visual InterDev 6.0 eller FrontPage 2002.

Tildel tilladelser i registreringsdatabasen

  1. Klik på Start, klik på Kør, skriv regedt32, og klik derefter på OK. Brug ikke Registreringseditoren, fordi den ikke lader dig ændre tilladelser i Windows 2000.

  2. I Registreringseditoren, lokaliser og vælg HKEY_LOCAL_MACHINE.

  3. Udvid System, udvid CurrentControlSet, og udvid derefter Tjenester.

  4. Vælg IISADMIN-tasten, klik på Sikkerhed (eller tryk på ALT + S), og vælg derefter
    Tilladelser(eller tryk på P).

  5. Klik for at fjerne Tillad nedarvning af tilladelser fra forældre til at blive overført til dette objekt-afkrydsningsfeltet, klik på Kopi, og fjern derefter alle brugere undtagen:

    • Administratorer (Tillad Læseadgang og Fuld kontrol)

    • System (Tillad Læseadgang og Fuld kontrol)

  6. Klik på OK.

  7. Gentag trinnene for MSFTPSVC -nøglen.

  8. Vælg W3SVC-tasten, klik på Sikkerhed, og klik derefter på Tilladelser.

  9. Fjern markeringen af Tillad nedarvning fra forældre for at blive overført til dette objekt afkrydsningsfeltet og fjern derefter alle poster undtagen:

    • Administratorer (Tillad læsning og fuld kontrol)

    • System (Tillad læsning og fuld kontrol)

    • Netværk (Læs)

    • Service (Læs)

    • IWAM_<MachineName>(Læs)

  10. Klik på OK.

Registreringsdatabase-

I følgende tabel vises de tilladelser, der skal anvendes, når du følger trinnene i afsnittet "Tildel tilladelser i registreringsdatabasen". Denne tabel er kun til reference.

BemærkAkronymet HKLM står for HKEY_LOCAL_MACHINE.

Placering

Brugere\Grupper

Permissions

HKLM\SYSTEM\CurrentControlSet\Services\IISAdmin

Administratorer

Fuld kontrol

System

Fuld kontrol

HKLM\SYSTEM\CurrentControlSet\Services\MsFtpSvc

Administratorer

Fuld kontrol

System

Fuld kontrol

HKLM\SYSTEM\CurrentControlSet\Services\w3svc

Administratorer

Fuld kontrol

System

Fuld kontrol

IWAM_<MachineName>

Læsning

Tildel rettigheder i Lokal sikkerhedspolitik

  1. Klik på Start, klik på Indstillinger, og klik derefter på Kontrolpanel.

  2. Dobbeltklik på Administrationsværktøjer, og dobbeltklik derefter på Lokal sikkerhedspolitik.

  3. I Lokale sikkerhedsindstillinger-dialogboksen, udvid Lokale politikker, og klik derefter på Tildeling af brugerrettigheder.

  4. Rediger den pågældende politik:

    1. Dobbeltklik på policy.

    2. Vælg og klik derefter på Fjern for alle brugere, der ikke er i tabellen.

    3. Tilføj alle brugere, der ikke er angivet. For at gøre dette, skal du klikke på
      Tilføj, og vælg derefter brugeren i Vælg brugere eller grupper-dialogboksen.

Bemærk at fordi en domain controller politik tilsidesætter den lokale politik, skal du sørge for at Effektiv politikindstilling matcher Lokal politikindstilling.

Politikker

I følgende tabel vises de tilladelser, der skal anvendes, når du følger trinnene i afsnittet "Tildel rettigheder i den lokale sikkerhedspolitik".

Politik

Users

Log på lokalt

Administratorer

IUSR_<MachineName>(Anonym)

Brugere (godkendelse påkrævet)

Få adgang til denne computer fra netværket.

Administratorer

ASPNet (.NET Framework)

IUSR_<MachineName>(anonym)

IWAM_<MachineName>

Users

Log på som et Batchjob

ASPNet

Netværk

IUSR_<MachineName>

IWAM_<MachineName>

Tjeneste

Log på som en tjeneste

ASPNet

Netværk

Spring krydstjek over

Administratorer

IUSR_<MachineName>(anonym)

Brugere (Standard, Integreret, Indlæs og Afprøv)

IWAM_<MachineName>

Referencer

Yderligere oplysninger om gendannelse af standard NTFS-tilladelser i Windows 2000 finder du ved at klikke på nedenstående artikelnummer for at få vist artiklerne i Microsoft Knowledge Base:

266118Sådan gendannes standard NTFS-tilladelser til Windows 2000

260985Minimum NTFS-tilladelser kræves for at bruge CDONTS

324068Sådan angives IIS-tilladelser for bestemte objekter

815153Hvordan du kan konfigurere NTFS-filtilladelserne for sikkerhed på ASP.NET-programmer Du finder flere oplysninger om påkrævede tilladelser i IIS 6.0 ved at klikke på følgende artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

812614 Standardtilladelser og brugerrettigheder til IIS 6.0
 

Flere oplysninger

Denne artikel omhandler ikke nogen af de særlige sikkerhedskrav for følgende serverroller eller -programmer:

  • Windows 2000 Domænecontroller

  • Microsoft Exchange 5.5 eller Microsoft Exchange 2000 Outlook Web Access

  • Microsoft Small Business Server 2000

  • Microsoft SharePoint Portal eller Team Services

  • Microsoft Commerce Server 2000 eller Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 eller Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 eller Microsoft Content Management Server 2002

  • Microsoft Application Center 2000

  • De tredjepartsprogrammer, der afhænger af yderligere tilladelser

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×